[求助]PEB成员汇编到C语言的转换问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]PEB成员汇编到C语言的转换问题

发表于: 2009-8-17 20:58 4824

[求助]PEB成员汇编到C语言的转换问题

YamingW

2009-8-17 20:58

4824

这段程序是从微软的文件反汇编而得到的，大概意思是得到winlogon的CLIENT_ID,其中有些地方不懂，而且无法转换成C语言。希望哪位高手能指点一二。
sub_2F02B0A3 proc near             ; CODE XREF: MSOOBE_DisplayUI+1DBp

               mov    edi, edi
               push ebp
               mov    ebp, esp
               sub    esp, 10h
               mov    eax, large fs:18h；得到TEB
               mov    eax, [eax+30h]；得到PEB
               push ebx
               push esi
               mov    esi, ds:NtQuerySystemInformation
               push edi
               mov    edi, [eax+1D4h]；问题1： edi中是sessionid 吗？
               lea    eax, [ebp+uBytes]
               push eax
               xor    ebx, ebx
               push ebx
               push ebx
               push 5             ; SystemProcessesAndThreadsInformation
               mov    [ebp+var_8], ebx
               call esi ; NtQuerySystemInformation
               push [ebp+uBytes]
               push ebx          ; uFlags
               call ds:LocalAlloc
               mov    ebx, eax
               test ebx, ebx
               jz    short loc_2F02B133
               lea    eax, [ebp+uBytes]
               push eax
               push [ebp+uBytes]
               push ebx
               push 5
               call esi ; NtQuerySystemInformation
               test eax, eax
               jl    short loc_2F02B12C
               push offset aWinlogon_exe ; "winlogon.exe"
               lea    eax, [ebp+var_10]
               push eax
               call ds:RtlInitUnicodeString
               mov    esi, ebx

loc_2F02B103:                         ; CODE XREF: sub_2F02B0A3+81j
               push 1
               lea    eax, [ebp+var_10]
               push eax
               lea    eax, [esi+38h]
               push eax
               call ds:RtlCompareUnicodeString
               test eax, eax
               jnz    short loc_2F02B11C
               cmp    [esi+50h], edi；问题2[esi+50h]是processid还是什么其他的东西
               jz    short loc_2F02B126

loc_2F02B11C:
               mov    eax, [esi]
               test eax, eax
               jz    short loc_2F02B12C
               add    esi, eax
               jmp    short loc_2F02B103
; ---------------------------------------------------------------------------

loc_2F02B126:
               mov    eax, [esi+44h]
               mov    [ebp+var_8], eax

loc_2F02B12C:
               push ebx          ; hMem
               call ds:LocalFree

loc_2F02B133:
               mov    eax, [ebp+var_8]
               pop    edi
               pop    esi
               pop    ebx
               leave
               retn
sub_2F02B0A3 endp
我转换成C语言，如下

NtQuerySystemInformation(NT_PROCESSTHREAD_INFO, 0, 0, &ulNeed);
hLMem = (PSYSTEM_PROCESSES)LocalAlloc(LMEM_FIXED, ulNeed);
if(hLMem )
{
if ( NtQuerySystemInformation(NT_PROCESSTHREAD_INFO, hLMem, ulNeed, &ulNeed) >= 0 )
{
RtlInitUnicodeString(&WinLogonUStr, L"winlogon.exe");
p = hLMem;
while ( RtlCompareUnicodeString(&p->ProcessName, &WinLogonUStr, 1) ||processid!=sessionid )//processid!=sessionid ？

问题3:此处不会转换，它到底在判断什么    {
      if ( !p->NextEntryDelta  )
      goto LABEL_9;
      p = p + p->NextEntryDelta;
   }
   pWinLogonID = &(p->Threads[0].ClientId);
}
LABEL_9:
LocalFree(hLMem);
  }

return pWinLogonID;

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (1)
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 2 楼用WinDbg dt一下_PEB就行了。 2009-8-18 17:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

YamingW

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 2 楼用WinDbg dt一下_PEB就行了。 2009-8-18 17:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复